【发布时间】:2019-01-12 21:02:49
【问题描述】:
我有一个角色和声明不支持的场景,所以我遵循了实现这个场景的路径,我想问一些问题并告诉我我所做的是否是正确的方式或建议不同的方式实施它。 首先,我想通过使用这样的属性来定义每个 Controller / Action 或 Razor 页面的权限:
[Data.CheckAccess(PermissionsEnum.Users_Create)]
public class PrivacyModel : PageModel
{
public void OnGet()
{
}
}
PermissionsEnum 具有以下形式:
public enum PermissionsEnum
{
Users_View = 101,
Users_Create = 102,
Users_Edit = 103,
Users_Delete = 103,
Users_Details = 104,
Products_View = 201,
Products_Create = 202,
Products_Edit = 203,
Products_Delete = 204,
Products_Details = 205
}
我修改了 IdentityRole,以便能够为每个角色附加一个权限列表。
public class ApplicationRole : IdentityRole
{
public string Permissions { get; set; }
public void SetPermissions(List<PermissionsEnum> permissions)
{
Permissions = Newtonsoft.Json.JsonConvert.SerializeObject(permissions);
}
public List<PermissionsEnum> GetPermissions()
{
return Newtonsoft.Json.JsonConvert.DeserializeObject<List<PermissionsEnum>>(Permissions);
}
}
EntityFramework 不能具有 List 类型的属性,因此我使用了字符串属性,并且我有两个帮助方法来序列化和反序列化枚举列表。 现在我可以创建管理页面,用户可以创建角色并检查按用户分组的权限,以及产品(这是我在枚举器中拥有的两个组),以便更轻松地管理权限。 创建角色后,我将能够使用其他页面为用户分配角色。 我创建了以下属性来进行授权:
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class CheckAccessAttribute : AuthorizeAttribute, IAuthorizationFilter
{
private PermissionsEnum permission;
public CheckAccessAttribute(PermissionsEnum permission)
{
this.permission = permission;
}
public async void OnAuthorization(AuthorizationFilterContext context)
{
if (!context.HttpContext.User.Identity.IsAuthenticated)
{
return;
}
UserManager<ApplicationUser> userManager = (UserManager<ApplicationUser>)context.HttpContext.RequestServices.GetService(typeof(UserManager<ApplicationUser>));
var user = await userManager.GetUserAsync(context.HttpContext.User);
RoleManager<ApplicationRole> roleManager = (RoleManager<ApplicationRole>)context.HttpContext.RequestServices.GetService(typeof(RoleManager<ApplicationRole>));
var roles = await userManager.GetRolesAsync(user);
foreach (var role in roles)
{
var CurrentRole = await roleManager.FindByNameAsync(role);
if (CurrentRole.GetPermissions().Contains(permission))
return;
}
// the user has not this permission
context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
return;
}
}
这很好,但是当我启动应用程序时,我登录并停止应用程序,然后我启动应用程序,用户登录,因为有一个身份验证 cookie。这将导致应用程序崩溃。错误消息是当我尝试让用户使用用户管理器时。错误信息如下。
System.ObjectDisposedException: '无法访问已释放的对象。此错误的一个常见原因是释放从依赖注入中解析的上下文,然后尝试在应用程序的其他地方使用相同的上下文实例。如果您在上下文上调用 Dispose() 或将上下文包装在 using 语句中,则可能会发生这种情况。如果你使用依赖注入,你应该让依赖注入容器负责处理上下文实例。 对象名称:'AsyncDisposer'。'
所以我改变了我的代码以绕过这个问题,现在的代码如下。
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class CheckAccessAttribute : AuthorizeAttribute, IAuthorizationFilter
{
private PermissionsEnum permission;
public CheckAccessAttribute(PermissionsEnum permission)
{
this.permission = permission;
}
public void OnAuthorization(AuthorizationFilterContext context)
{
if (!context.HttpContext.User.Identity.IsAuthenticated)
{
return;
}
var userId = context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier).Value;
ApplicationDbContext DbContext = (ApplicationDbContext)context.HttpContext.RequestServices.GetService(typeof(ApplicationDbContext));
var user = DbContext.Users.Where(m => m.Id == userId).FirstOrDefault();
var RoleIDs = DbContext.UserRoles.Where(m => m.UserId == user.Id).Select(m => m.RoleId);
var Roles = DbContext.Roles.Where(m => RoleIDs.Contains(m.Id)).ToList();
foreach (var role in Roles)
{
if (role.GetPermissions().Contains(permission))
return;
}
// the user has not this permission
context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
return;
}
}
我有以下问题。
- 有没有更好的方法来实现这个场景?
- 为什么会出现 System.ObjectDisposedException 异常。有没有办法解决这个问题?
- 为了提高性能,我会尽量缓存当前用户的权限,这样就不用每次页面使用该属性时都加载它们。我想我会使用 Cache in-memory 方法(https://docs.microsoft.com/en-us/aspnet/core/performance/caching/memory?view=aspnetcore-2.2)。这是最好的方法吗?
【问题讨论】:
标签: asp.net-core asp.net-core-2.0 asp.net-core-2.1